AndroxGh0st Botnet

CISA និង FBI បានរួមគ្នាចេញការព្រមានមួយទាក់ទងនឹងសកម្មភាពរបស់អ្នកគំរាមកំហែងប្រើប្រាស់មេរោគ Androxgh0st ដែលកំពុងបង្កើត botnet យ៉ាងសកម្មដោយផ្តោតជាក់លាក់លើការលួចព័ត៌មានសម្ងាត់លើពពក។ តួអង្គអាក្រក់ទាំងនេះប្រើព័ត៌មានដែលប្រមូលបាន ដើម្បីដាក់ពង្រាយបន្ទុកគ្រោះថ្នាក់បន្ថែម។ បានរកឃើញដំបូងដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតក្នុងឆ្នាំ 2022 botnet នេះបានទទួលការគ្រប់គ្រងលើឧបករណ៍ជាង 40,000 រួចហើយនៅពេលនោះ។

Modus operandi នៃ botnet នេះពាក់ព័ន្ធនឹងការស្កេនរកភាពងាយរងគ្រោះនៅក្នុងគេហទំព័រ និង servers ដែលងាយនឹងដំណើរការកូដពីចម្ងាយ (RCE)។ គួរកត់សម្គាល់ថា តួអង្គគម្រាមកំហែងកំណត់គោលដៅលើភាពងាយរងគ្រោះជាក់លាក់ដូចជា CVE-2017-9841 (ភ្ជាប់ជាមួយក្របខ័ណ្ឌការធ្វើតេស្តអង្គភាព PHPUnit) CVE-2021-41773 (ភ្ជាប់ទៅម៉ាស៊ីនមេ Apache HTTP) និង CVE-2018-15133 (ទាក់ទងនឹង Laravel ក្របខ័ណ្ឌគេហទំព័រ PHP) ។ តាមរយៈការទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះទាំងនេះ មេរោគ Androxgh0st សម្របសម្រួលការចូលប្រើដោយគ្មានការអនុញ្ញាត និងបើកការលួចព័ត៌មានសម្ងាត់លើពពក ដែលបង្កឱ្យមានហានិភ័យសន្តិសុខតាមអ៊ីនធឺណិតយ៉ាងសំខាន់។

មេរោគ AndroxGh0st កំណត់គោលដៅទិន្នន័យរសើបនៅលើឧបករណ៍ដែលបំពាន

Androxgh0st ដែលជាមេរោគដែលសរសេរដោយ Python ត្រូវបានរចនាឡើងជាចម្បងដើម្បីកំណត់គោលដៅឯកសារ .env ដែលរក្សាទុកព័ត៌មានសម្ងាត់ រួមទាំងព័ត៌មានសម្ងាត់សម្រាប់កម្មវិធីដែលមានទម្រង់ខ្ពស់ដូចជា Amazon Web Services (AWS), Microsoft Office 365, SendGrid និង Twilio នៅក្នុងក្របខ័ណ្ឌកម្មវិធី Laravel Web .

មេរោគនេះមានមុខងារជាច្រើន ដែលអនុញ្ញាតឱ្យមានការបំពានលើ Simple Mail Transfer Protocol (SMTP)។ វាអាចស្កេន និងទាញយកព័ត៌មានសម្ងាត់ដែលលាតត្រដាង និងចំណុចប្រទាក់កម្មវិធីកម្មវិធី (APIs) ក៏ដូចជាដាក់ពង្រាយ Web shells ផងដែរ។ ការសម្របសម្រួលរបស់ Twilio និង SendGrid credentials អនុញ្ញាតឱ្យតួអង្គគម្រាមកំហែងរៀបចំយុទ្ធនាការសារឥតបានការ ដោយក្លែងបន្លំក្រុមហ៊ុនដែលបំពាន។

អាស្រ័យលើកម្មវិធីរបស់វា AndroxGh0st បង្ហាញមុខងារចម្បងពីរប្រឆាំងនឹងលិខិតសម្គាល់ដែលទទួលបាន។ ការសង្កេតញឹកញាប់ជាងនេះពាក់ព័ន្ធនឹងការត្រួតពិនិត្យដែនកំណត់នៃការផ្ញើអ៊ីមែលនៃគណនីដែលត្រូវបានសម្របសម្រួលដើម្បីកំណត់ភាពសមស្របរបស់វាសម្រាប់គោលបំណងផ្ញើសារឥតបានការ។

អ្នកវាយប្រហារក៏បានបង្ហាញពីការបង្កើតទំព័រក្លែងក្លាយនៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួល ដោយបង្កើត Backdoor សម្រាប់ចូលទៅកាន់មូលដ្ឋានទិន្នន័យដែលមានព័ត៌មានរសើប។ ការចូលប្រើនេះត្រូវបានប្រើប្រាស់ដើម្បីដាក់ពង្រាយឧបករណ៍គំរាមកំហែងបន្ថែមដែលមានសារៈសំខាន់សម្រាប់ប្រតិបត្តិការរបស់ពួកគេ។ ក្នុងករណីដែលព័ត៌មានសម្ងាត់ AWS ត្រូវបានកំណត់អត្តសញ្ញាណដោយជោគជ័យ និងសម្របសម្រួលនៅលើគេហទំព័រដែលងាយរងគ្រោះ អ្នកវាយប្រហារបានព្យាយាមបង្កើតអ្នកប្រើប្រាស់ និងគោលការណ៍អ្នកប្រើប្រាស់ថ្មី។

ជាងនេះទៅទៀត ប្រតិបត្តិករ Andoxgh0st ប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច ដើម្បីចាប់ផ្តើមឧទាហរណ៍ AWS ថ្មី ដែលអនុញ្ញាតឱ្យពួកគេស្កេនរកគោលដៅដែលងាយរងគ្រោះបន្ថែមនៅលើអ៊ីនធឺណិត ដែលជាផ្នែកមួយនៃប្រតិបត្តិការដែលកំពុងដំណើរការរបស់ពួកគេ។

តើធ្វើដូចម្តេចដើម្បីការពារការវាយប្រហារមេរោគ Andoxgh0st ដែលអាចកើតមាន?

ដើម្បីកាត់បន្ថយផលប៉ះពាល់នៃការវាយប្រហារមេរោគ Androxgh0st និងកាត់បន្ថយហានិភ័យនៃការសម្របសម្រួល អ្នកការពារបណ្តាញត្រូវបានណែនាំឱ្យអនុវត្តវិធានការដូចខាងក្រោមៈ

• រក្សាប្រព័ន្ធអាប់ដេត ៖ ត្រូវប្រាកដថាប្រព័ន្ធប្រតិបត្តិការ សូហ្វវែរ និងកម្មវិធីបង្កប់ទាំងអស់ត្រូវបានធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់។ ជាពិសេស ផ្ទៀងផ្ទាត់ថាម៉ាស៊ីនមេ Apache មិនដំណើរការកំណែ 2.4.49 ឬ 2.4.50 ទេ។
• ការកំណត់រចនាសម្ព័ន្ធ URI ៖ បញ្ជាក់ថាការកំណត់លំនាំដើមសម្រាប់ឧបករណ៍កំណត់អត្តសញ្ញាណធនធានឯកសណ្ឋានទាំងអស់ (URI) ត្រូវបានកំណត់ដើម្បីបដិសេធរាល់សំណើទាំងអស់ លុះត្រាតែមានតម្រូវការជាក់លាក់ និងសមហេតុផលសម្រាប់ភាពងាយស្រួល។
• ការកំណត់កម្មវិធី Laravel ៖ ត្រូវប្រាកដថាកម្មវិធី Laravel បន្តផ្ទាល់ណាមួយមិនស្ថិតនៅក្នុង 'បំបាត់កំហុស' ឬរបៀបសាកល្បងទេ។ លុបព័ត៌មានសម្ងាត់លើពពកចេញពីឯកសារ .env និងដកហូតពួកវា។ ធ្វើការត្រួតពិនិត្យម្តងលើព័ត៌មានសម្ងាត់ពពកដែលបានរក្សាទុកពីមុន ហើយធ្វើការពិនិត្យបន្តសម្រាប់ប្រភេទព័ត៌មានសម្ងាត់ផ្សេងទៀតដែលមិនអាចដកចេញបាន។
• ការស្កេនប្រព័ន្ធឯកសារ ៖ ស្កែនប្រព័ន្ធឯកសាររបស់ម៉ាស៊ីនមេសម្រាប់ឯកសារ PHP ដែលមិនទទួលស្គាល់ ដោយយកចិត្តទុកដាក់ជាពិសេសចំពោះថត root និងថតឯកសារ /vendor/phpunit/phpunit/src/Util/PHP ។
• សំណើ GET ចេញ ៖ ពិនិត្យមើលសំណើ GET ចេញ ជាពិសេសអ្នកដែលប្រើពាក្យបញ្ជា cURL ទៅកាន់គេហទំព័របង្ហោះឯកសារដូចជា GitHub ឬ Pastebin ។ យកចិត្តទុកដាក់ជាពិសេសនៅពេលសំណើចូលប្រើឯកសារ .php ។

CISA បានធ្វើបច្ចុប្បន្នភាពកាតាឡុកភាពងាយរងគ្រោះដែលគេស្គាល់ថាបានកេងប្រវ័ញ្ចដោយផ្អែកលើភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម។ CVE-2018-15133 Laravel deserialization នៃភាពងាយរងគ្រោះនៃទិន្នន័យដែលមិនគួរឱ្យទុកចិត្តត្រូវបានបន្ថែម ខណៈពេលដែល CVE-2021-41773 Apache HTTP Server path traversal និង CVE-2017-9841 PHPUnit command injection vulnerabilities ត្រូវបានរួមបញ្ចូលនៅក្នុងខែវិច្ឆិកា 2021 និងខែកុម្ភៈ ឆ្នាំ 2022។ ការបន្ថែមទាំងនេះមានគោលបំណងបង្កើនការយល់ដឹង និងជំរុញវិធានការសកម្មប្រឆាំងនឹងភាពងាយរងគ្រោះដែលគេស្គាល់ដែលទាក់ទងនឹង Androxgh0st ។